Comment nous avons perdu 230 euros chez CJ Affiliate (Conversant)
[accueil] [menu] [suivez-nous !] [chercher]
Téléphone mobile, les méthodes de la police scientifique
Si Sherlock Holmes revenait parmi nous, il devrait certainement troquer
sa loupe contre un micro-ordinateur : plutôt que d'étudier
minutieusement des enveloppes ayant voyagé par la poste, il aurait à
expertiser des cartes SIM et des téléphones portables ! Pour la police
scientifique, il y a là une mine inépuisable d'indices et même de
preuves, où le citoyen de bonne foi verra plutôt de possibles atteintes
à sa vie privée.
Le quotidien des expertises à
vocation judiciaire n'a pas grand-chose à voir avec ce que
montrent certaines séries télévisées : un
policier qui découvrirait un téléphone portable
sur une « scène de crime » et le
mettrait aussitôt en marche pour rappeler le dernier
correspondant enregistré dans le « journal »
risquerait fort de commettre une faute impardonnable !
Un mobile GSM et sa carte SIM sont
souvent susceptibles de « parler », c'est vrai,
mais les indices qu'ils contiennent sont éminemment fragiles.
En tirer des preuves capables de convaincre un tribunal nécessite
une méthodologie très rigoureuse, que ne soupçonne
généralement pas le grand public. Bien conseillé par
des spécialistes, ou lui-même suffisamment compétent
en la matière, un bon avocat ne ferait qu'une bouchée
d'accusations basées sur des données informatiques
pouvant s'être trouvées altérées entre la
saisie de la pièce à conviction et son expertise.
Un simple exemple : éteindre un
GSM avant de le mettre sous scellés risque fort de modifier
des informations permettant de déterminer l'endroit où
il a été utilisé pour la dernière fois,
qui n'est pas nécessairement celui où on l'a trouvé.
En effet, la procédure d'arrêt « propre »
prévoit de prendre congé du réseau en mettant à
jour les données de localisation que contient la carte SIM !
Faut-il alors le mettre brutalement hors tension en retirant sa
batterie ? C'était effectivement une démarche
volontiers préconisée il y a quelque temps, mais on
s'est aperçu depuis que cela remettait souvent à zéro
l'heure et la date internes : encore un indice envolé si elles
étaient erronées ou volontairement trafiquées !
De plus, tout arrêt peut réactiver un code PIN que l'on
ne connaît probablement pas, tandis que dans le cas d'un mobile
étranger, le PUK ne pourra peut-être jamais être
obtenu (sauf à mettre la main dessus pendant la perquisition).
Pas question non plus de laisser, sans
précautions, le mobile sous tension pendant son transport au
labo, car il risquerait de se relocaliser en chemin, écrasant
là encore des données significatives. Du coup, certains
manuels du parfait petit enquêteur prescrivent de le convoyer
dans un emballage blindé, empêchant toute communication
avec les réseaux, le labo devant lui-même être
installé dans une « cage de Faraday »
parfaitement efficace, ou être équipé d'un
brouilleur. Encore faut-il que la batterie tienne suffisamment
longtemps, ou que la mallette de transport soit équipée
d'un chargeur universel...
Sur la table d'autopsie
Au laboratoire, pas question de retirer
d'emblée la carte SIM pour l'explorer au petit bonheur : cela
risquerait d'effacer la liste des derniers appels émis ou
reçus, qui réside souvent dans le téléphone
et non dans la carte. L'ordre des investigations revêt donc une
importance capitale, et devra être scrupuleusement décrit
dans le rapport d'expertise, voire convenu préalablement avec
l'officier en charge de l'enquête, selon ses priorités.
D'une façon générale, on s'efforcera de recueillir le plus tôt possible
une image
logicielle certifiée de tout ce que contiennent le téléphone
et sa carte SIM, avant de les ranger en lieu sûr. Le principe
fondamental est de ne rien commettre d'irréversible, autrement
dit de garder la possibilité de faire recommencer l'expertise
par un spécialiste différent (qui devrait aboutir aux
mêmes conclusions...) tout en apportant la preuve que
l'intégrité de toutes les données a été
préservée de bout en bout. En pratique, cela suppose de
n'utiliser que des outils effectuant uniquement des opérations
de lecture, et authentifiant les données lues au moyen de
signatures cryptographiques vérifiables ultérieurement.
Cela disqualifie, en principe, la plupart des utilitaires courants de
gestion de cartes SIM ou de téléphones, tous capables
de modifier les données lues (puisque c'est leur vocation même
!). Et pourtant, bien des expertises judiciaires ont été
pratiquées, jusque vers 2003 pour certains pays, avec des
logiciels grand public ou même des outils de
hacker
!
La pierre que nous apportons très modestement à cet édifice consiste en un petit logiciel pour lecteurs PC/SC :
snooper.exe, qui recherche de façon systématique tous les fichiers (même non normalisés) qu'héberge une carte SIM. L'examen de son
code source ZCBasic démontre clairement qu'il ne peut causer aucune altération du contenu de la carte, puisqu'il ne met en oeuvre que la commande SELECT. Un principe fondamental, qui mérite d'être parfaitement assimilé !
Dès 2004, une université
suisse nous invitait à essayer le logiciel qu'elle développait
spécifiquement pour un usage criminalistique, en s'inspirant
librement du fameux
Cards4Labs du Netherlands
Forensic Institute.
Aujourd'hui, les logiciels se réclamant à tort ou à
raison du label « Forensic » fleurissent un peu
partout, et il faut de moins en moins souvent (doit-on le déplorer
ou s'en féliciter ?) « montrer patte blanche »
pour se les procurer... Certains, comme
USIMdetective
commencent par faire un « vidage »
(garanti sans la moindre altération) de la seule carte SIM ou
USIM puis analysent minutieusement cette image. D'autres, à
l'instar d'
Oxygen Forensic
passent au peigne
fin tant la carte que le mobile grâce à une connexion
appropriée, récupérant au passage photos,
e-mails, agendas, mémos vocaux et autres données
potentiellement compromettantes. La première approche est bien
évidemment indépendante de la marque et du modèle
de mobile, tandis la seconde (qu'il n'est pas interdit d'utiliser en
concurrence) est plus exhaustive, surtout en présence d'un
mobile perfectionné, mais aussi plus délicate.
C'est pourquoi la précieuse
carte SIM saisie avec le téléphone sera de préférence
inspectée à part puis remplacée par une carte de
test, programmée à partir de son image, mais
interdisant l'inscription sur le réseau. L'équivalent,
en somme, de cette BasicCard que nous avons développée
pour nos propres investigations (voir notre ouvrage
Téléphones
GSM et PC aux éditions Dunod), notamment afin d'étudier
les dysfonctionnements du 112 en collaboration avec une
ONG proche
de
la Commission Européenne. Dans tous les cas, la
qualité des rapports produits par le logiciel (mais sous la
responsabilité de l'expert) doit être inattaquable,
notamment en matière de traçabilité. Une bonne
pratique consiste à y consigner toutes les commandes
(présentation de code PIN ou PUK, sélection de fichier,
lecture, etc.) envoyées à la carte, afin de pouvoir
justifier, auprès des juges et de la partie adverse, qu'elles
ont été émises à bon escient et sans
conséquences dommageables pour la « chaîne de
la preuve ».
Une machine à remonter le temps
L'approche mettant à
contribution un lecteur de cartes à puce (généralement
PC/SC) indépendant du téléphone peut être
considérée comme l'une des plus sûres et des plus
puissantes, notament en matière de récupération
de SMS. Une grossière maladresse consisterait, en effet, à
consulter les SMS par l'intermédiaire du téléphone
lui-même, carrément sur la scène de crime. Cela
pourrait suffire pour faire classer comme « lu »
un message qui ne l'avait pas encore été, modifiant par
là même le contenu de la carte SIM... De toute façon,
ressusciter des SMS effacés ne peut guère se faire
depuis le téléphone, mais plutôt en sauvegardant
le contenu de la carte SIM, auquel on fera subir un traitement
différé.
Semblable tour de prestidigitation est
parfaitement à la portée du détective amateur :
dans le fichier 7F10:6F3C de la carte SIM, le texte de chaque SMS est
accompagné de données de service où un octet
d'état précise son statut. Lire entièrement un
message depuis le menu du téléphone le fait classer
comme « lu », tandis que le supprimer ne
l'efface pas sur-le-champ : l'espace mémoire correspondant est
simplement classé comme « libre », mais
tant qu'un nouveau SMS ne viendra pas écraser l'ancien (et
cela peut arriver à tout moment si on ne prend pas de
précautions...), ce dernier pourra être rendu de nouveau
lisible en remettant à 01h son tout premier octet, si tant est
qu'il soit toujours à 00h. Bien évidemment, ces
interventions qui altèrent le contenu de la carte ne doivent
se faire que sur une image de celui-ci, ou alors dans une carte de
test où on aura fidèlement recopié le contenu de
l'original. De même, remonter le temps à
la recherche d'appels émis ou reçus, bien souvent
horodatés, doit se faire avec circonspection : rappeler
précipitamment un numéro peut en actualiser l'heure et
la date, au risque de faire disparaître un indice capital.
On le voit sur ces quelques études
de cas, expertiser un GSM ou une carte SIM à des fins
policières est un travail de professionnel spécifiquement
formé, habilité, et totalement impartial : même
s'il est rétribué par l'une ou l'autre des parties en
présence, l'expert judiciaire est au service de la vérité,
un point c'est tout. Rappelons au passage que si n'importe qui peut
s'auto-proclamer « expert » au titre d'une
spécialité dans laquelle il estime être passé
maître, l'appellation « expert judiciaire »
est strictement réglementée. Même si certaines
expertises (ou contre-expertises) peuvent être confiées
à des prestataires privés, cela suppose de s'entourer
des meilleures garanties : caractère non destructif et
reproductible des opérations effectuées, traçabilité
sans faille de celles-ci, application de méthodes clairement
définies voire normalisées, éprouvées et
admises par la communauté criminologique, utilisation
d'équipements et de logiciels parfaitement validés et
documentés (éventuellement
open source pour plus de
transparence).
Mais hors de ce contexte judiciaire,
n'importe qui peut aisément jouer au détective privé
sur ses propres cartes SIM et mobiles GSM, quitte à se
procurer (peut-être un peu trop facilement !) des versions
d'évaluation de certains logiciels éminemment
professionnels. Le risque, c'est que les criminels accèdent
eux aussi à un niveau de compétence suffisant pour
brouiller les pistes, si ce n'est pour créer de faux indices !
Modifier adroitement le contenu d'une carte SIM, contrefaire des SMS
émis ou reçus, se faire localiser ailleurs que là
où l'on se trouve, tout cela est techniquement faisable, et
souvent même facile. C'est là qu'intervient
l'indispensable collaboration entre la police et les opérateurs
de téléphonie mobile, d'habiles recoupements pouvant
permettre de déjouer les ruses par trop simplistes.
Localisation ou géolocalisation ?
Le fonctionnement même des
réseaux GSM suppose de suivre à la trace les mobiles
lors de leurs déplacements. La localisation la plus grossière
consiste à savoir dans quelle zone locale (regroupant
couramment des centaines de relais !) le mobile s'est signalé
pour la dernière fois. Le code correspondant (LAC ou Local
Area Code) est mémorisé dans le fichier LOCI
(7F20:6F7E) de la carte SIM, et actualisé lors de chaque mise
hors tension du téléphone ou en cas de changement de
zone locale. Il faut par contre que le réseau demande au
mobile de se signaler (par exemple avant de lui acheminer une
communication) pour déterminer par quel(s) relais il est
couvert. Il ne le sait donc pas en permanence, mais peut le savoir à
tout moment !
Cette localisation
plus fine se fait en
recherchant le mobile sur l'ensemble des relais de la zone locale :
tous vont émettre un
paging, qui restera évidemment
sans réponse là où le mobile ne se trouve pas.
Parfois, il restera totalement sans réponse, si le mobile a
perdu brutalement tout contact avec le réseau (cela se
remarque d'ailleurs quand on tente de l'appeler, fournissant parfois
un précieux indice !). Une fois le mobile repéré,
c'est le réseau qui va choisir le relais par l'intermédiaire
duquel il va communiquer avec lui, quitte à en changer une ou
plusieurs fois en cours de communication. En cas d'encombrement, il
est parfaitement possible d'être servi par un relais situé
jusqu'à 35 km de distance, même si l'on se trouve à
quelques centaines de mètres d'un autre, qui est peut-être
saturé. Il est assez facile de provoquer ce genre de situation
en se plaçant volontairement dans une zone d'ombre d'un relais
proche, mais en vue directe d'un relais bien plus lointain : il peut
suffire de changer de pièce dans une même habitation
(exemple vécu !).
Pour l'expert analysant la carte SIM,
il est parfois possible de lever certains doutes en consultant le
fichier BCCH (7F20:6F74), où est tenue à jour une liste
(codée) des canaux « balise » des relais
captés localement, que l'on s'en soit servi ou non pour
communiquer. Moyennant la collaboration de l'opérateur ou un
peu de « net monitoring » sur le terrain, cela
peut améliorer sensiblement la précision des
conclusions. De même, trouver dans la mémoire du
téléphone (et non plus dans la carte SIM) le code CI
(Cell Identifier) du dernier relais utilisé peut sérieusement
affiner la localisation.
Ce que l'on appelle communément
« géolocalisation » n'est plus, cette
fois, un mécanisme indispensable au fonctionnement du réseau,
mais plutôt un service supplémentaire offert (ou vendu)
à ses utilisateurs. Souvent exploité pour repérer
un restaurant ou une banque dans le voisinage, il peut aussi servir à
des fins publicitaires (envoi de SMS « ciblés »),
d'assistance (appels d'urgence), ou... policières. En
attendant que tous les téléphones portables disposent
un jour d'un récepteur GPS incorporé, la précision
(toute relative) du repérage repose le plus souvent sur un
principe de triangulation par rapport à plusieurs relais (à
commencer par ceux figurant dans le fichier BCCH).
En effet, une simple mesure de
timing advance
permet de déterminer, à 550 m près, à
quelle distance du relais se situe le mobile, mais on peut aussi se
baser (plus approximativement) sur le niveau de réception du
signal.
Suivant le nombre de relais intervenant
dans le processus, et selon que l'on tient compte ou non de leur
« sectorisation » (couverture de leurs
différentes antennes), la précision effective peut
varier dans une large mesure. Un « sport »
particulièrement amusant consiste ainsi à trouver des
lieux géographiques où l'on est systématiquement
localisé avec une erreur se chiffrant en kilomètres, si
ce n'est en dizaines de kilomètres. Oserons-nous insinuer que
cela n'a rien d'exceptionnel ? Pire, appeler le 112 avec une carte de
test imitant les identifiants d'une carte SIM déjà
inscrite ailleurs sur le réseau pourrait laisser une trace
très officielle (horodatée et peut-être même
géolocalisée) signalant la présence d'un mobile
là où il ne se trouve pas, les appels d'urgence étant
dispensés de l'habituelle authentification cryptographique.
Certes, falsifier ne serait-ce qu'un IMEI est d'ores et déjà
considéré comme un délit, mais dans un contexte
de criminalité organisée, en est-on à cela près
?
Les écoutes
La mise en oeuvre d'écoutes
« légales » (autrement dit policières
ou judiciaires) fait partie intégrante des spécifications
GSM, et des obligations imposées aux opérateurs lors de
l'attribution de leurs licences. Parfois même, c'est à
eux qu'incombe la fourniture (gratuite ?) du matériel
nécessaire aux autorités ! Il doit être bien
clair que ce n'est pas en branchant deux pinces crocodile sur les
bornes d'un répartiteur que l'on peut intercepter les
communications des mobiles, même si cela serait indirectement
possible lorsqu'un GSM est en relation fréquente avec une même
ligne fixe. Un réseau GSM n'est rien d'autre qu'un énorme
système informatique, dans lequel les équipements radio
ne sont pas forcément ce qu'il y a de plus compliqué.
Les communications peuvent y être cryptées, même
si en pratique les exceptions à la règle ne sont pas si
rares. L'interception directe, en local, du trafic radio est donc
davantage une activité de pirate que d'enquêteur,
compliquée de toute façon par les incessants
changements de canaux ou même de relais, et par le principe
même du multiplexage temporel (TDMA) de plusieurs
communications voix ou données sur chaque canal.
Les écoutes officielles se
pratiquent donc plutôt en étroite coopération
avec les opérateurs, ceux-ci se chargeant de leur mise en
oeuvre technique et livrant les communications « clef en
main » à l'autorité requérante. Cela
peut se faire en différé (remise de fichiers audio ou
data) ou en temps réel, les conversations ou données
interceptées étant alors réacheminées
vers un terminal fixe ou mobile, pouvant être situé en
tout endroit desservi par un réseau de télécommunications.
Il a ainsi été rapporté des cas de policiers
d'un certain pays pratiquant, de chez eux, des écoutes sur le
territoire d'un autre état, pour le compte de collègues
moins bien équipés à qui les enregistrements
auraient été retransmis, à la bonne franquette,
sous la forme de simples fichiers MP3 voyageant en clair par
e-mail
!
Sans tomber dans
cette caricature,
observons tout de même que le
roaming étant chose
courante en matière de GSM, il serait souhaitable de pouvoir
assurer la continuité de surveillance de suspects parcourant
le monde, et de prendre en considération le cas des petits
malins qui, dans leur propre pays, sont clients d'opérateurs
étrangers. Basculant fréquemment d'un réseau à
l'autre, ils bénéficient en prime de coups de balai
automatiques dans le mobile et la carte SIM. Cela complique
évidemment les choses, expliquant peut-être les nombreux
bâtons qui sont mis dans les roues des adeptes de ces formules,
votre serviteur en tête : enterrement pur et simple de la carte
prépayée internationale de Swisscom, obstacles aux
rechargements par cartes de crédit émises à
l'étranger, croisade permanente contre l'anonymat, etc. Et
n'oublions pas que même en l'absence d'écoutes, les
opérateurs conservent un certain temps des traces détaillées
de toutes les communications émises et reçues, ne
serait-ce qu'à des fins de facturation et d'analyse de trafic.
Autant de renseignements dont les enquêteurs sont
particulièrement friands, même si y accéder n'est
pas forcément gratuit... pour le contribuable.
Patrick Gueulle Tous les ouvrages de l'auteurVous voulez soutenir une information indépendante ? Rejoignez notre
Club privé !
[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]